CN101366040B - 用于管理用户对于包含对象的服务器的访问的方法和系统 - Google Patents
用于管理用户对于包含对象的服务器的访问的方法和系统 Download PDFInfo
- Publication number
- CN101366040B CN101366040B CN2007800019129A CN200780001912A CN101366040B CN 101366040 B CN101366040 B CN 101366040B CN 2007800019129 A CN2007800019129 A CN 2007800019129A CN 200780001912 A CN200780001912 A CN 200780001912A CN 101366040 B CN101366040 B CN 101366040B
- Authority
- CN
- China
- Prior art keywords
- user
- access
- server
- access right
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
各个技术的实现,包括用于管理用户对访问对象的请求的方法、系统和装置。在一个实现中,基于策略对用户是否拒绝或授予对于对象的访问权来作出判断(步骤a)。如果该策略对该用户既未拒绝也未授予对于对象的访问权,则对用户是否由该对象的访问控制列表(ACL)授予对于对象的访问权作出判断(步骤b)。然后如步骤(a)和(b)所确定的,对用户对于对象是否具有访问权得出结论。
Description
技术领域
本发明涉及用户对对象的访问,尤其涉及用于管理用户对于包含对象的服务器的访问的方法和系统。
背景技术
当处理信息时,通常期望限制对信息的特定部分的访问,使得特定部分仅可由某些授权的用户访问。当信息被包含在物理文档(例如,印刷的书或帐目)中时,这些文档可使用诸如锁或文档保管员的物理访问控制来保护。然而,在当今世界中,大量信息以数字数据形式存储。数字数据可容易地创建、修改、复制、传输和删除,这导致存在于无数位置中的大量数字数据的增殖。类似于物理文档,通常期望限制对部分数字数据的访问。然而,数字数据的巨大数量以及易于创建、复制、传输、修改和删除数字数据使得保护数字数据成为一种挑战。
数字数据通常可用文件结构存储。文件结构可以是数据存储的分层系统,其中包含数字数据的对象可被存储在文件夹中。对象可以是程序、进程、文件或事件。对象也可具有安全描述符。文件夹还可被存储在其他文件夹中。对象中的数字数据可按照每个项目的方式访问。
对给定文件结构,可对每一对象分配访问控制列表(ACL),其中ACL是向计算机的操作系统指示计算机的每一用户对给定对象具有的许可或访问权的数据结构。ACL可指定特定的一个或一组用户具有某些许可,诸如读、写或执行许可。因此,响应于访问对象的请求,可访问对象的ACL以确定分配给对象的许可。
系统管理员可基于特定对象的访问要求来更改ACL中定义的默认安全许可。考虑到存在数百、数千甚至数百万个对象,审阅每一对象的ACL的过程可能是成本高昂且冗长的。
此外,组的嵌套使得系统管理员难以确保仅适当的用户具有许可。例如,如果ACL包含用于一组用户的条目,则该组中的所有用户都被授予许可,包括组内的组。从而,系统管理员可能难以确保特定的一个或一组用户不具有对一对象的许可。
发明内容
此处描述了用于管理用户对访问对象的请求的各种技术的实现。在一个实现中,基于策略对用户是否拒绝或授予对于对象的访问权来作出判断(步骤a)。如果该策略对该用户既未拒绝也未授予对于对象的访问权,则对用户是否由该对象的访问控制列表(ACL)授予对于对象的访问权作出判断(步骤b)。然后如步骤(a)和(b)所确定的,对用户对于对象是否具有访问权得出结论。
在另一实现中,对用户是否拒绝或授予对于包含该对象的服务器的访问权作出判断。
在又一实现中,该服务器是虚拟服务器。
在再一实现中,如果由策略拒绝用户对于服务器的访问权,则拒绝用户访问对象,即使ACL对用户授予对于该对象的访问权。
在还一实现中,如果由策略对用户授予对于服务器的访问权,则准许用户访问对象,即使ACL未对该用户授予对于该对象的访问权。
各个技术的实现也针对其上存储计算机可执行指令的计算机可读介质,当该指令由计算机执行时,使计算机进行:(a)确定用于包含对象的服务器的策略是否对用户拒绝或授予对于服务器的访问权,(b)如果策略对该用户既不拒绝也不授予对于服务器的访问权,则确定该对象的访问控制列表是否对用户授予对于对象的访问权,以及(c)基于步骤(a)和(b)对该用户授予或拒绝对于对象的访问权。
各个技术的实现也针对用于存储供正在处理器上执行的应用程序访问的数据的存储器。该存储器在存储器中存储有数据结构。该数据结构包括服务器的访问掩码。访问掩码指定用于授予或拒绝对服务器的访问权的一个或多个许可。
所要求保护的主题不限于解决任何或所有所述缺点的实现。此外,提供该概述章节以便以简化形式介绍将在以下详细描述章节中进一步描述的一些概念。该概述章节不旨在标识所要求保护的主题的关键特征或本质特征,也不旨在用于限制所要求保护的主题的范围。
附图说明
图1示出了其中可包括或实践此处所述的技术的网络环境的示意图。
图2示出了根据此处所述的技术用于管理对一个或多个对象的访问的方法的流程图。
图3示出了此处所述的技术的各个实现可如何通过将策略访问掩码与ACL访问掩码合并来生成有效许可集的流程图。
具体实施方式
图1示出了其中可包括或实践此处所述的技术的网络环境100的示意图。网络环境100可包括常规台式或服务器计算机5,它包括中央处理单元(CPU)10、系统存储器20、以及将系统存储器20耦合至CPU 10的系统总线30。系统存储器20可包括随机存取存储器(RAM)25和只读存储器(ROM)28。包含有助于诸如启动时在计算机中元件之间传递信息的基本例程的基本输入/输出系统,可被存储在ROM 28中。计算系统5还包括用于存储操作系统45、应用程序和其他程序模块的海量存储设备40,它将在以下更详细描述。
本领域中的技术人员可以理解,此处所述的技术的各种实现可在其他计算机系统配置中实践,包括超文本传输协议(HTTP)服务器、手持式设备、多处理器系统、基于微处理器或可编程消费者电子产品、网络PC、小型机、大型机等。此处所述的各种技术的实现还可在分布式计算环境中实践,在分布式计算环境中任务由本地处理设备和通过通信网络例如由硬连线链路、无线链路或其组合链接的远程处理设备执行。在分布式计算环境中,程序模块可以位于本地和远程存储器存储设备中。
海量存储设备40可通过系统总线30和海量存储控制器(未示出)连接至CPU 10。海量存储设备40及其相关联的计算机可读介质被配置成为计算系统5提供非易失性存储。尽管此处包含的计算机可读介质的描述指的是海量存储设备,诸如硬盘或CD-ROM驱动器,但本领域的技术人员应理解,计算机可读介质可以是可由计算系统5访问的任何可用介质。例如,计算机可读介质可包括计算机存储介质和通信介质。计算机存储介质包括以任何方法或技术实现的用于存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息的易失性和非易失性、可移动和不可移动介质。计算机存储介质还包括,但不限于,RAM、ROM、可擦除可编程只读存储器(EPROM)、电可擦可编程只读存储器(EEPROM)、闪存或其它固态存储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储、磁带盒、磁带、磁盘存储或其它磁性存储设备、或能用于存储所需信息且可以由计算系统5访问的任何其它介质。
如上简述,海量存储设备40可包括操作系统45,操作系统适于控制联网人员或服务器计算机的操作。操作系统45可以是XP、Mac X、如和的Unix变体等。海量存储设备40也可包括用于确定用户可能对海量存储设备40中的对象具有的权限的的一个或多个访问控制列表(ACL)42。尽管在图1总仅示出单个ACL,但应理解,ACL 42可表示若干ACL,每一ACL向一个或多个用户授予对与该ACL相关联的对象的权限。对象通常被称为项目或资源。对象可以是程序、进程、文件、事件或具有安全描述符的任何其他事物。每一ACL可包括数据结构,通常是表,包含指定对于给定对象的用户或组权限的访问控制条目(ACE)。每一ACE包含用户或组的安全标识符以及指定用户或组的哪些操作被允许或拒绝的访问掩码。访问掩码可包含指定在ACL的ACE中允许或拒绝的许可的值。
如上简述,海量存储设备40可包括程序模块。程序模块通常包括例程、程序、对象、组件、数据结构和其他类型的结构,它们执行特定任务或实现特定的抽象数据类型。一般,程序模块的功能可按需在各个实现中组合或分布。
在一个实现中,海量存储设备40包括认证模块44和授权模块46。认证模块44被配置成验证用户的身份。例如,用户可由安全标识符(SID)的号码标识,其中每一SID是标识用户或标识用户是其中成员的各个组的可变长度的数据结构。这样,认证模块44可访问具有SID可与之比较的信息的认证信息的数据库。认证信息数据库(未示出)可被存储在海量存储设备40中。此处所述的技术的各种实现不受使用SID的限制,即用户的身份可使用其他类型的标识符,诸如口令、证书、生物统计等标识。认证过程可以是任何认证技术,包括标准认证技术,诸如Kerebos认证技术,其中用户计算机系统的Kerebos客户机向管理员域的Kerebos服务器提供用户名和口令。Kerebos服务器确认用户名和口令,确保用户具有对所请求的计算机系统的允许认证访问权限,且如果这样,则向用户提供“权证”。每当用户试图访问它已被认证的计算机系统的对象,就使用该权证。如果权证有效,则对于对象的访问可根据该对象的ACL和包含该对象的系统的策略来确定和授权。如果否,则拒绝访问。该确定和授权过程将在以下段落中更详细描述。在一个实现中,一旦用户的身份得到认证,则可由授权模块46确定用户对于访问对象的权限,该模块将在以下段落更详细描述。
认证模块44或授权模块46或其两者都可以是任何类型的可编程代码,诸如动态链接库(DLL),它一般被定义为可按需加载并在运行时链接并且然后在代码不再被需要时卸载的可执行代码模块、动态共享对象等。
如图1中所示,计算系统5可使用通过网络50,诸如因特网、内联网或外联网至远程计算机的逻辑链接在网络环境100中操作。计算系统5可通过连接至系统总线30的网络接口单元60连接至网络50。应理解,网络接口单元60也可用于连接至其他类型的网络和远程计算机系统。计算系统5也可包括输入/输出控制器70,用于接收和处理来自多个其他设备,包括键盘、鼠标或电子指示笔(未示出)的输入。输入/输出控制器70也向显示屏、打印机或其他类型的输出设备提供输出。
在一个实现中,计算系统5被耦合至中央配置存储80,后者包含策略90。策略90包含可在整个计算机系统5上应用的一组安全保护。因此,策略90可包含一组ACE,其中每一ACE可包含用户或组的安全标识符,以及指定用户或组的哪些操作被准许或拒绝的访问掩码。在一个实现中,策略可包含用于可具有对计算机系统5的访问权的预定的一组用户和/或组的一组授予访问掩码和一组拒绝访问掩码。在策略中授予一权限就对系统5内的所有受保护对象将该权限给予一用户或组,而不管ACL为该对象定义的许可。类似地,在策略中拒绝一权限就对系统5内所有受保护的对象阻塞用户或组的该权限。尽管参考使用掩码描述了各个技术的实现,但可以理解,可在其他实现中使用类似于掩码的其他技术,诸如使用逻辑用户角色的技术。
在一个实现中,策略可对整个虚拟服务器应用,虚拟服务器可被定义为驻留在诸如超文本传输协议(HTTP)服务器的服务器上的虚拟计算机,但向用户显现为单独的服务器。若干虚拟服务器可驻留在一个计算机上,各自能够运行其自己的程序且各自具有对输入和外围设备的个别访问。每一虚拟服务器可具有其自己的域名和IP地址。尽管此处参考计算机系统5或虚拟服务器描述了各个实现,但其他实现可应用于站点集合、特定站点、站点内的库或特定项目或文档。这样,此处所述的各个技术的实现,包括授权模块46的功能,可被应用于计算机系统5内的各级粒度。
策略90可由中央管理员管理,而ACL 42可由站点管理员管理。在一个实现中,可禁止中央管理员访问ACL 42,而禁止站点管理员访问策略90。因此,此处所述的各个技术的实现向中央管理员提供了在整个计算机系统5上实施统一安全策略的方式。此处描述的各个技术的实现也向中央管理员提供了将日常的安全管理委托给站点管理员而同时保留控制谁具有或不具有对系统5的访问权的能力的方式。
图2示出了根据此处所述的技术的各个实现用于管理对一个或多个对象的访问的方法200的流程图。在步骤210,认证模块44从用户接收对访问对象的请求。在接收请求之后,用户的身份被认证(步骤220)。用户的身份可通过任何类型的认证过程认证,包括使用口令、证书、生物测定等的那些过程。在一个实现中,认证模块44审阅和认证与用户相关联的所有SID(步骤220)。一旦用户的SID得到认证,用户用于访问对象的权限就可由授权模块46确定。用户的权限可有读、插入、更新、删除等。
在步骤230,作出用户的SID中的任何一个是否在包含所请求的对象的计算机系统5的策略中指定的判断。在一个实现中,作出所述策略是否向用户提供访问计算机系统5的权限的判断。在另一实现中,对于包含该对象的虚拟服务器作出判断。如果策略不存在,则处理继续至步骤280,在那里作出对象的ACL是否向用户SID中的任何一个授予权限的判断。
如果策略确实存在,则处理继续至步骤240,在那里作出策略是否对用户SID中的任何一个拒绝访问计算机系统5的权限的判断。如果策略对用户SID的任何一个拒绝访问计算机系统5的权限,则拒绝该用户对所请求对象的访问(步骤250)。如果策略未对用户SID中的任何一个拒绝访问计算机系统5的权限,则处理继续至步骤260,在那里作出策略是否向用户SID中的任何一个授予访问计算机系统5的权限的判断。如果策略对用户SID的任何一个授予访问计算机系统5的权限,则授予该用户对所请求对象的访问权(步骤270)。
另一方面,如果策略对用户SID中的任何一个既不拒绝也不授予访问对象的权限,则处理继续至步骤280,在那里作出该对象的ACL是否向用户SID中的任何一个授予访问该对象的权限的判断。如果ACL对用户SID的任何一个授予访问该对象的权限,则授予该用户对所请求对象的访问权。然而,如果在ACL中不存在用于用户SID中任何一个的ACE,则拒绝用户对所请求对象的访问(步骤290)。
以此方式,如果策略对用户拒绝访问计算机系统5的权限,则对该用户拒绝访问包含在计算机系统5中的对象的权限,而不考虑ACL是否向该用户授予访问该对象的权限。同样地,如果策略对用户授予访问计算机系统5的权限,则对该用户授予访问对象的权限,而不考虑ACL是否向该用户授予访问该对象的权限。作为计算机系统5的备选,此处描述的技术的各个实现也可被应用于包含对象的虚拟服务器。
在一个实现中,在运行时,由策略定义的访问掩码可与由ACL定义的访问掩码合并以生成用于该用户的有效许可集。图3示出了此处所述的技术的各个实现可如何通过将用于包含对象的系统的策略访问掩码与该对象的用户访问掩码320以及该对象的组访问掩码330合并来生成有效许可集的流程图300。流程图300的以下描述参考图2的方法200进行。然而,应理解,流程图300中所示的操作不必限于由方法200执行。此外,应理解,尽管操作流程图300指示了操作执行的特定次序,但操作在其他实现中可按照不同的次序执行。
策略访问掩码310指定特定的用户或组是否具有对于一对象的某些权限。这些权限包括读、插入、更新、删除和等等权限。等等权限可表示其他权限,诸如查看项目、打开项目、批准项目、设计列表、创建子web、查看版本历史、删除版本、管理许可等。在一个实现中,策略访问掩码310指定已经被授予的一组权限,如由栏G下的检查标记所指示,以及已经被拒绝的一组权限,如由栏D下的检查标记所指示。如图3中所示,读权限被指示为已授予,删除权限被指示为已拒绝,而等等权限被指示为已授予。策略访问掩码310对插入和更新权限没有任何指示。
用户访问掩码320仅指定已被授予的权限。对该特定示例,仅读权限和插入权限已被授予,如栏G下的检查标记所指示。与用户访问掩码320相同,组访问掩码330也仅指定已授予的那些权限。对该特定示例,仅读权限、更新权限和删除权限已被授予,如栏G下的检查标记所指示。
在运行时,策略访问掩码310与用户访问掩码320和组访问掩码330合并以便为该用户生成有效许可集340。在合并操作之后,有效许可集340指示读权限被授予,如由策略访问掩码310和用户访问掩码320所指示。插入权限也被授予,如由用户访问掩码320所指示。更新权限也被授予,如由组访问掩码330所指示。然而,删除权限被拒绝,如由策略访问掩码310所指示,尽管它被组访问掩码330授予。同样地,等等权限被授予,如由策略访问掩码310指示,尽管用户访问掩码320和组访问掩码330都未对等等权限授予访问权。
尽管用结构特征和/或方法动作专用的语言描述了本主题,但可以理解,所附权利要求书中定义的主题不必限于上述特定特征或动作。相反,上述特定特征和动作作为实现权利要求的示例形式公开。
Claims (12)
1.一种用于管理用户对访问对象的请求的方法,包括:
(a)基于策略确定对所述用户是否拒绝或授予对所述对象的访问权,包括确定对所述用户是否拒绝或授予对于包含所述对象的服务器的访问权,所述策略为在整个计算机系统上应用的一组安全保护;
(b)如果所述策略对所述用户既不拒绝也不授予对于所述对象的访问权,则根据确定所述对象的访问控制列表ACL是否授予所述用户对所述对象的访问权来对是否授予所述用户对于所述对象的访问权作出判断;以及
(c)即使所述ACL对所述用户授予对所述对象的访问权,如果所述策略对所述用户拒绝对所述服务器的访问权,则拒绝所述用户访问所述对象,以及即使所述ACL未对所述用户授予对所述对象的访问权,如果所述策略对所述用户授予对所述服务器的访问权,则准许所述用户访问所述对象。
2.如权利要求1所述的方法,其特征在于,所述服务器是虚拟服务器。
3.如权利要求1所述的方法,其特征在于,所述服务器是超文本传输协议HTTP服务器。
4.一种用于管理用户对访问对象的请求的系统,包括:
(a)用于基于策略确定对所述用户是否拒绝或授予对于所述对象的访问权,包括确定对所述用户是否拒绝或授予对于包含所述对象的服务器的访问权的装置,所述策略为在整个计算机系统上应用的一组安全保护;
(b)用于如果所述策略对于所述用户既不拒绝也不授予对于所述对象的访问权,根据确定所述对象的访问控制列表ACL是否授予所述用户对所述对象的访问权来对是否授予所述用户对于所述对象的访问权作出判断的装置;以及
(c)用于即使所述ACL对所述用户授予对所述对象的访问权,如果所述策略对所述用户拒绝对所述服务器的访问权,则拒绝所述用户访问所述对象,以及即使所述ACL未对所述用户授予对所述对象的访问权,如果所述策略对所述用户授予对所述服务器的访问权,则准许所述用户访问所述对象的装置。
5.如权利要求4所述的系统,其特征在于,所述服务器是虚拟服务器。
6.如权利要求4所述的系统,其特征在于,所述服务器是超文本传输协议HTTP服务器。
7.如权利要求4所述的系统,其特征在于,还包括用于存储供正在处理器上执行的应用程序访问的数据的装置,存储在所述用于存储的装置中的数据结构包括用于服务器的访问掩码,所述访问掩码指定用于授予或拒绝对于所述服务器的访问权的至少其中之一的一个或多个许可。
8.如权利要求7所述的系统,其特征在于,所述服务器是驻留在超文本传输协议HTTP服务器上的虚拟服务器。
9.如权利要求7所述的系统,其特征在于,所述访问掩码包括用于指定被授予对于所述服务器的访问权的一组预定的用户的一组准许访问掩码。
10.如权利要求7所述的系统,其特征在于,所述访问掩码包括用于指定被拒绝对于所述服务器的访问权的一组预定的用户的一组拒绝访问掩码。
11.如权利要求7所述的系统,其特征在于,所述数据结构还包括对包含在所述服务器内的对象的访问控制列表。
12.如权利要求11所述的系统,其特征在于,所述访问控制列表包括用于指定被授予对于所述对象的访问权的一组预定的用户的一组准许访问掩码。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/325,930 | 2006-01-05 | ||
| US11/325,930 US20070156691A1 (en) | 2006-01-05 | 2006-01-05 | Management of user access to objects |
| PCT/US2007/000247 WO2007081785A1 (en) | 2006-01-05 | 2007-01-04 | Management of user access to objects |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101366040A CN101366040A (zh) | 2009-02-11 |
| CN101366040B true CN101366040B (zh) | 2010-12-01 |
Family
ID=38225843
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007800019129A Expired - Fee Related CN101366040B (zh) | 2006-01-05 | 2007-01-04 | 用于管理用户对于包含对象的服务器的访问的方法和系统 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20070156691A1 (zh) |
| EP (1) | EP1974311A4 (zh) |
| JP (1) | JP2009522694A (zh) |
| KR (1) | KR20080083131A (zh) |
| CN (1) | CN101366040B (zh) |
| RU (1) | RU2430413C2 (zh) |
| WO (1) | WO2007081785A1 (zh) |
Families Citing this family (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| NO326590B1 (no) * | 2007-04-16 | 2009-01-19 | Kubekit As | Fremgangsmate og anordning for verifikasjon av informasjonstilgang i IKT-system med flere sikkerhetsdimensjoner og sikkerhetsniva. |
| US20090157686A1 (en) * | 2007-12-13 | 2009-06-18 | Oracle International Corporation | Method and apparatus for efficiently caching a system-wide access control list |
| US9172707B2 (en) * | 2007-12-19 | 2015-10-27 | Microsoft Technology Licensing, Llc | Reducing cross-site scripting attacks by segregating HTTP resources by subdomain |
| US9047485B2 (en) * | 2008-03-12 | 2015-06-02 | International Business Machines Corporation | Integrated masking for viewing of data |
| WO2009151459A1 (en) * | 2008-06-13 | 2009-12-17 | Hewlett-Packard Development Company, L.P. | Hierarchical policy management |
| US8990896B2 (en) | 2008-06-24 | 2015-03-24 | Microsoft Technology Licensing, Llc | Extensible mechanism for securing objects using claims |
| FR2934392B1 (fr) * | 2008-07-22 | 2010-08-13 | Jean Patrice Glafkides | Procede pour gerer des objets accessibles a des utilisateurs et dispositif informatique implique par la mise en oeuvre du procede |
| US8689289B2 (en) * | 2008-10-02 | 2014-04-01 | Microsoft Corporation | Global object access auditing |
| US8108406B2 (en) * | 2008-12-30 | 2012-01-31 | Expanse Networks, Inc. | Pangenetic web user behavior prediction system |
| US8654659B2 (en) * | 2009-12-23 | 2014-02-18 | Citrix Systems, Inc. | Systems and methods for listening policies for virtual servers of appliance |
| US8689004B2 (en) | 2010-11-05 | 2014-04-01 | Microsoft Corporation | Pluggable claim providers |
| EP2466853B1 (en) * | 2010-12-17 | 2014-10-08 | Alcatel Lucent | Control of connection between devices for controlling the initiation, routing and security of connections between devices |
| US8429191B2 (en) * | 2011-01-14 | 2013-04-23 | International Business Machines Corporation | Domain based isolation of objects |
| US8983985B2 (en) | 2011-01-28 | 2015-03-17 | International Business Machines Corporation | Masking sensitive data of table columns retrieved from a database |
| US8930410B2 (en) | 2011-10-03 | 2015-01-06 | International Business Machines Corporation | Query transformation for masking data within database objects |
| US8898593B2 (en) * | 2011-10-05 | 2014-11-25 | Microsoft Corporation | Identification of sharing level |
| US9329784B2 (en) | 2011-10-13 | 2016-05-03 | Microsoft Technology Licensing, Llc | Managing policies using a staging policy and a derived production policy |
| US9189643B2 (en) | 2012-11-26 | 2015-11-17 | International Business Machines Corporation | Client based resource isolation with domains |
| US9838424B2 (en) | 2014-03-20 | 2017-12-05 | Microsoft Technology Licensing, Llc | Techniques to provide network security through just-in-time provisioned accounts |
| US9836596B2 (en) * | 2015-07-08 | 2017-12-05 | Google Inc. | Methods and systems for controlling permission requests for applications on a computing device |
| RU2659743C1 (ru) * | 2017-02-08 | 2018-07-03 | Акционерное общество "Лаборатория Касперского" | Система и способ контроля доступа на основе ACL |
| CN108628879B (zh) * | 2017-03-19 | 2023-04-07 | 上海格尔安全科技有限公司 | 一种带优先级策略的访问控制构造的检索方法 |
| US10630695B2 (en) | 2017-06-29 | 2020-04-21 | Amazon Technologies, Inc. | Security policy monitoring service |
| US10757128B2 (en) | 2017-06-29 | 2020-08-25 | Amazon Technologies, Inc. | Security policy analyzer service and satisfiability engine |
| US10922423B1 (en) * | 2018-06-21 | 2021-02-16 | Amazon Technologies, Inc. | Request context generator for security policy validation service |
| US11483317B1 (en) | 2018-11-30 | 2022-10-25 | Amazon Technologies, Inc. | Techniques for analyzing security in computing environments with privilege escalation |
| US11627126B2 (en) * | 2020-08-20 | 2023-04-11 | Bank Of America Corporation | Expedited authorization and access management |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5335346A (en) * | 1989-05-15 | 1994-08-02 | International Business Machines Corporation | Access control policies for an object oriented database, including access control lists which span across object boundaries |
| US5787427A (en) * | 1996-01-03 | 1998-07-28 | International Business Machines Corporation | Information handling system, method, and article of manufacture for efficient object security processing by grouping objects sharing common control access policies |
| CN1403952A (zh) * | 2002-09-24 | 2003-03-19 | 武汉邮电科学研究院 | 一种以太网认证接入的方法 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0771094B2 (ja) * | 1989-05-19 | 1995-07-31 | オムロン株式会社 | 通信ネットワークシステム |
| US5187790A (en) * | 1989-06-29 | 1993-02-16 | Digital Equipment Corporation | Server impersonation of client processes in an object based computer operating system |
| FR2745967B1 (fr) * | 1996-03-07 | 1998-04-17 | Bull Cp8 | Procede de securisation des acces d'une station a au moins un serveur et dispositif mettant en oeuvre le procede |
| US5991879A (en) * | 1997-10-23 | 1999-11-23 | Bull Hn Information Systems Inc. | Method for gradual deployment of user-access security within a data processing system |
| US6119153A (en) * | 1998-04-27 | 2000-09-12 | Microsoft Corporation | Accessing content via installable data sources |
| US6832120B1 (en) * | 1998-05-15 | 2004-12-14 | Tridium, Inc. | System and methods for object-oriented control of diverse electromechanical systems using a computer network |
| US6182142B1 (en) * | 1998-07-10 | 2001-01-30 | Encommerce, Inc. | Distributed access management of information resources |
| WO2000004483A2 (en) * | 1998-07-15 | 2000-01-27 | Imation Corp. | Hierarchical data storage management |
| US6785810B1 (en) * | 1999-08-31 | 2004-08-31 | Espoc, Inc. | System and method for providing secure transmission, search, and storage of data |
| US6606659B1 (en) * | 2000-01-28 | 2003-08-12 | Websense, Inc. | System and method for controlling access to internet sites |
| US6883101B1 (en) * | 2000-02-08 | 2005-04-19 | Harris Corporation | System and method for assessing the security posture of a network using goal oriented fuzzy logic decision rules |
| US7096502B1 (en) * | 2000-02-08 | 2006-08-22 | Harris Corporation | System and method for assessing the security posture of a network |
| US7260718B2 (en) * | 2001-04-26 | 2007-08-21 | International Business Machines Corporation | Method for adding external security to file system resources through symbolic link references |
| US20020184516A1 (en) * | 2001-05-29 | 2002-12-05 | Hale Douglas Lavell | Virtual object access control mediator |
| US7401235B2 (en) * | 2002-05-10 | 2008-07-15 | Microsoft Corporation | Persistent authorization context based on external authentication |
| US7243105B2 (en) * | 2002-12-31 | 2007-07-10 | British Telecommunications Public Limited Company | Method and apparatus for automatic updating of user profiles |
| JP4368184B2 (ja) * | 2003-11-19 | 2009-11-18 | 株式会社日立製作所 | ブラックリストによる緊急アクセス遮断装置 |
-
2006
- 2006-01-05 US US11/325,930 patent/US20070156691A1/en not_active Abandoned
-
2007
- 2007-01-04 EP EP07717902A patent/EP1974311A4/en not_active Ceased
- 2007-01-04 CN CN2007800019129A patent/CN101366040B/zh not_active Expired - Fee Related
- 2007-01-04 KR KR1020087016353A patent/KR20080083131A/ko not_active Application Discontinuation
- 2007-01-04 WO PCT/US2007/000247 patent/WO2007081785A1/en active Application Filing
- 2007-01-04 JP JP2008549568A patent/JP2009522694A/ja active Pending
- 2007-01-04 RU RU2008127360/08A patent/RU2430413C2/ru not_active IP Right Cessation
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5335346A (en) * | 1989-05-15 | 1994-08-02 | International Business Machines Corporation | Access control policies for an object oriented database, including access control lists which span across object boundaries |
| US5787427A (en) * | 1996-01-03 | 1998-07-28 | International Business Machines Corporation | Information handling system, method, and article of manufacture for efficient object security processing by grouping objects sharing common control access policies |
| CN1403952A (zh) * | 2002-09-24 | 2003-03-19 | 武汉邮电科学研究院 | 一种以太网认证接入的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20070156691A1 (en) | 2007-07-05 |
| EP1974311A4 (en) | 2010-04-07 |
| RU2008127360A (ru) | 2010-01-10 |
| KR20080083131A (ko) | 2008-09-16 |
| EP1974311A1 (en) | 2008-10-01 |
| WO2007081785A1 (en) | 2007-07-19 |
| RU2430413C2 (ru) | 2011-09-27 |
| JP2009522694A (ja) | 2009-06-11 |
| CN101366040A (zh) | 2009-02-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101366040B (zh) | 用于管理用户对于包含对象的服务器的访问的方法和系统 | |
| US20200228574A1 (en) | Policy management for data migration | |
| CN102112990B (zh) | 为计算过程授予最小特权访问 | |
| US8984291B2 (en) | Access to a computing environment by computing devices | |
| EP1946238B1 (en) | Operating system independent data management | |
| US9996680B2 (en) | Methods and related apparatus for managing access to digital assets | |
| US7734549B2 (en) | Methods and apparatus for managing secured software for a wireless device | |
| US20180225466A1 (en) | Access control | |
| WO2017054985A1 (en) | Access control | |
| EP3329408A1 (en) | Expendable access control | |
| GB2540977A (en) | Expendable access control | |
| GB2540976A (en) | Access control | |
| CN102667719A (zh) | 基于资源属性控制资源访问 | |
| EP3805962A1 (en) | Project-based permission system | |
| JP2006107505A (ja) | アクセス認可のapi | |
| CN105049445A (zh) | 一种访问控制方法及独立式访问控制器 | |
| KR20010044823A (ko) | 컴퓨터에서 사용자 인증이 필요한 자료의 보호방법 및그에 관한 시스템 | |
| JP3756397B2 (ja) | アクセス制御方法およびアクセス制御装置および記録媒体 | |
| US8218765B2 (en) | Information system | |
| CN102130907B (zh) | 开发者电话注册 | |
| JP2005258606A (ja) | 情報漏洩監査機能付きネットワークシステム | |
| JP7388707B2 (ja) | 情報処理装置、情報処理システム、情報処理方法、及びプログラム | |
| Peterkin et al. | Role based access control for uddi inquiries | |
| Jermyn et al. | Out of the Sandbox: Third Party Validation for Java Applications | |
| TR2023006911T2 (tr) | Şi̇freli̇ dosya kontrolü |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150514 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150514 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101201 Termination date: 20180104 |